RG-MA1210-S认证流程.doc

项目简述 微信Wi-Fi是解决传统商务Wi-Fi连接授权认证的一个方案，代替传统web认证需要用户输入用户名、密码等信息的过程，并在微信界面给予有安全性认证的Wi-Fi服务提供商一个信息展示广告位的入口，以充实其商业化价值。微信连Wi-Fi只是解决微信用户连接Wi-Fi通过授权认证的一个手段，Wi-Fi的安全性需要Wi-Fi服务提供商负责。 1微信扫一扫门店二维码上网 流程说明如下： 用户通过微信扫一扫 Wi-Fi 二维码发起连接； 微信客户端识别出二维码并调用微信 Server（这里是通过手机的移动网络）； 微信 Server 通过二维码策略检查请求； 微信 Server 返回 SSID 并通知连接 Wi-Fi； 微信客户端开始请求连接 AP； 连接上 AP 后，微信客户端发起黑名单请求，请求地址为 /redirect，这个请求的目的是为了让 AP 能鉴别出是微信客户端发起的请求； AP 识别出是黑名单请求，则通过 302 重定向请求，并带上一个 auth 参数，该 auth 参数可以通过加密方式携带手机 MAC 地址和 AP MAC地址； 微信客户端拿到这个 auth 参数后，将携带 auth 参数发起白名单请求，这个请求是向微信 Server 发起的，目的是请求授权 WIFI 上网，但由于 AP 还未认证通过，因此需要将微信 Server 的 IP 加到 AP 的白名单列表里，这样 AP 才能放行认证请求，所以称为白名单请求； AP 识别出请求 IP 在白名单列表中，放行请求，请求通过 AP 到达微信 Server； 微信 Server 向设备商 Server 发起授权请求，这个 http 请求对应到接口 8（一定要提前调用接口 13 设置好设备商 Server 的 URL 地址和token 参数）； 设备商 Server 对这个请求进行授权，并返回认证地址和认证参数（对应接口 8 中 login 参数）； 微信 Server 将这个认证地址和认证参数返回给微信客户端； 微信客户端请求这个认证地址（即 Login 请求）； AP 或者设备商 Server 做上网认证操作，AP 放行这个手机 MAC 地址，并且服务商 Server 调用接口 7 通知微信 Server 上网成功（第 15微信连 Wi-Fi 11步），AP 同时 302 重定向，重定向需带上 res=success 返回，微信客户端根据这个参数确定上网授权成功，微信客户端展示 Wi-Fi 连接成功页面； 场景二：微信扫一扫PC设备动态二维码实现多设备上网（可选） 图 2微信扫一扫pc设备动态二维码实现多设备上网 流程说明： 用户打开PC连接WI-FI, 选择连接SSID（第1，2 步），当用户再打开浏览器连接某一网站的时候，会发起一个网络请求( 第3步)，AP会302一个传统 Portal 认证页给浏览器。由于需要支持手机扫PC 上的二维码上网，这个时候AP会再发起一个请求到设备商Server（第4 步）,设备商 Server 再调用微信Server(接口2)获取二维码图片的 URL(第5 步)。微信Server返回生成的二维码图片URL（第6 步）,设备商Server 再返回二维码图片 URL给AP（第7步），AP返回给浏览器的302Portal 认证页面上面潜嵌入二维码图片，此时手机扫一扫该为二维码(第10 步)，后面的流程就和手机上网流程是一致的了。 这个流程中关键的参数是lgnId（loginId），用于标识pc，在接口2中 ，带上lgnId参数，授权流程中 ，微信Server调用设备商接口8时会带上这个相同的lgnId，设备商可以基于这个 lgnId 对 pc做上网授权。设备商应该能从这 lgnId 参数中还原出pc的mac址，从而能将pc 的mac地址设置到ap的放行规则中。 场景三：微信自动发起认证授权连接上网 图 3 微信自动发起认证 流程说明： 用户通过在系统设置里面手动选择或自动连接上微信Wi-Fi的ssid（第1，2 步），然后手机发起任意网络请求( 第3步) AP，此时AP 需要调用设备商Server（第4 步），设备商Server再调用微信接口(接口 7)（第5 步），此时微信Server给手机微信下发一个通知，微信6.0 版本以下收到通知：检测到您已选择ssid 无线网络，进入微信即可完成网络连接, 6.0 版本或以上版本会收到通知：检测 到您已选择ssid无线网络，请扫对应的Wi-Fi二维码以完成网连接。用户扫描二维码后才能上网（流程1），弹出模板页。 第 4 页 共 4 页